Trend Micro Vision One
集成版本:2.0
在 Google Security Operations 中配置 Trend Micro Vision One 集成
有关如何在 Google SecOps 中配置集成的详细说明,请参阅配置集成。
集成配置参数
使用以下参数配置集成:
| 参数名称 | 类型 | 默认值 | 必需 | 说明 |
|---|---|---|---|---|
| API 根 | 字符串 | https://{instance} | 是 | Trend Micro Vision One 实例的 API 根。 |
| API 令牌 | 字符串 | 不适用 | 是 | Trend Micro Vision One 账号的 API 密钥。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果启用,集成会验证与 Trend Micro Vision One 服务器的连接所用的 SSL 证书是否有效。 |
如何生成 API 令牌
如需详细了解如何生成 API 令牌,请参阅获取账号的身份验证令牌。
操作
丰富实体
操作说明
使用 Trend Micro Vision One 中的信息丰富实体。支持的实体:主机名、IP 地址。
操作配置参数
此操作没有任何配置参数。
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"agentGuid": "3b3ff9df-d588-45a2-bb90-d73904accf46",
"osName": "Windows",
"osVersion": "6.1.7601",
"osDescription": "Windows 7 Professional (64 bit) build 7601",
"productCode": "xes",
"loginAccount": {
"value": [
"WINDOWS7\\devs"
],
"updatedDateTime": "2022-12-26T17:28:51.000Z"
},
"endpointName": {
"value": "WINDOWS7",
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"macAddress": {
"value": [
"00:50:56:b6:3e:a1",
"00:00:00:00:00:00:00:e0"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"ip": {
"value": [
"172.30.201.12"
],
"updatedDateTime": "2022-12-27T17:47:17.000Z"
},
"installedProductCodes": [
"xes"
]
}
实体丰富化
前缀 TrendMicroVisionOne_
| 扩充项字段名称 | 来源(JSON 键) | 逻辑 - 应用场景 |
|---|---|---|
| os | osDescription | 以 JSON 格式提供时 |
| login_account | loginAccount.value 的 CSV 文件 | 以 JSON 格式提供时 |
| endpoint_name | endpointName.value | 以 JSON 格式提供时 |
| ip | CSV ip.value | 以 JSON 格式提供时 |
| installedProductCodes | installedProductCodes 的 CSV | 以 JSON 格式提供时 |
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个实体有可用数据 (is_success=true):“已使用 Trend Micro Vision One 中的信息成功丰富以下实体:{entity.identifier}” 如果并非所有实体都有数据 (is_success=false):“未扩充任何提供的实体。” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Enrich Entities". 原因:{0}''.format(error.Stacktrace) |
常规 |
| “案例墙”表格 | Title: {entity.identifier} 列键值 |
实体 |
执行自定义脚本
操作说明
在 Trend Micro Vision One 中的端点上执行自定义脚本。支持的实体:主机名、IP 地址。该操作会异步运行,请根据需要在 Google SecOps SOAR IDE 中调整该操作的脚本超时值。
操作配置参数
| 参数名称 | 类型 | 默认值 | 必需 | 说明 |
|---|---|---|---|---|
| 脚本名称 | 字符串 | 不适用 | 是 | 指定需要在端点上执行的脚本的名称。 |
| 脚本参数 | 字符串 | 不适用 | 否 | 为脚本指定参数。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
即使操作失败,系统也会显示 JSON 结果。
{
"Entity": "qweqwe",
"EntityResult": {
"task_id": "{task id}"
"status": "{task status}"
}
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个端点有数据(仅当所有端点都成功时,is_success 才为 true,否则为 false):“已在 Trend Micro Vision One 中的以下端点上成功执行自定义脚本‘{script name}’:{entity.identifier}” 如果某个端点没有数据,或者找不到资产 (is_success=false):“无法在 Trend Micro Vision One 中使用以下端点执行自定义脚本‘{scrip name}’:{entity.identifier}” 如果并非所有端点都有数据 (is_success=false):“未在提供的端点上执行脚本。” 异步消息:“待处理的端点:{entities}” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、未连接到服务器、其他错误):“Error executing action "Execute Custom Script". 原因:{0}''.format(error.Stacktrace)" 如果找不到自定义脚本:“执行操作‘执行自定义脚本’时出错。原因:未找到名称为“{script name}”的脚本。 如果操作超时:“执行操作‘执行自定义脚本’时出错。原因:操作在执行期间超时。待处理的端点:{endpoints that are still in progress}。请在 IDE 中增加超时时间。注意:操作将再次运行自定义脚本。” |
常规 |
隔离端点
操作说明
在 Trend Micro Vision One 中隔离端点。支持的实体:IP 地址、主机名。操作会异步运行,请根据需要在 Google SecOps SOAR IDE 中调整操作的脚本超时值。
操作配置参数
| 参数名称 | 类型 | 默认值 | 必需 | 说明 |
|---|---|---|---|---|
| 说明 | 字符串 | 不适用 | 否 | 指定端点隔离的原因。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
即使操作失败,系统也会显示 JSON 结果。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个端点有数据(仅当所有端点都成功隔离时,is_success 才为 true,否则为 false): “已在 Trend Micro Vision One 中成功隔离以下端点:{entity.identifier}” 如果某个端点没有数据,或者找不到相应资产 (is_success=false):“无法使用 Trend Micro Vision One 隔离以下端点:{entity.identifier}” 如果并非所有端点都有数据 (is_success=false):“未隔离任何提供的端点。” 异步消息:“待处理的端点:{entities}” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Isolate Endpoints"”(执行“隔离端点”操作时出错)。原因:{0}''.format(error.Stacktrace)" 如果操作超时:“执行操作‘隔离端点’时出错。原因:操作在执行期间超时。待处理的端点:{endpoints that are still in progress}。请在 IDE 中增加超时时间。” |
常规 |
取消隔离端点
操作说明
在 Trend Micro Vision One 中取消隔离端点。支持的实体:IP 地址、主机名。操作会异步运行,请根据需要在 Google SecOps SOAR IDE 中调整操作的脚本超时值。
操作配置参数
| 参数名称 | 类型 | 默认值 | 必需 | 说明 |
|---|---|---|---|---|
| 说明 | 字符串 | 不适用 | 否 | 指定端点隔离的原因。 |
运行于
此操作适用于以下实体:
- 主机名
- IP 地址
操作执行结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
即使操作失败,系统也会显示 JSON 结果。
{
"Entity": "qweqwe",
"EntityResult": {
"status": "{task status}"
}
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果某个端点有数据(仅当所有端点都成功隔离时,is_success 才为 true,否则为 false):“已在 Trend Micro Vision One 中成功取消隔离以下端点:{entity.identifier}” 如果某个端点没有数据,或者找不到相应资产 (is_success=false):“Action wasn't able to unisolate the following endpoints using in Trend Micro Vision One: {entity.identifier}”(操作无法在 Trend Micro Vision One 中取消隔离以下端点:{entity.identifier}) 如果并非所有端点都有数据 (is_success=false):“提供的端点均未隔离。” 异步消息:“待处理的端点:{entities}” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器、其他错误):“Error executing action "Unisolate Endpoints". 原因:{0}''.format(error.Stacktrace)" 如果操作超时:“执行操作‘隔离端点’时出错。原因:操作在执行期间超时。待处理的端点:{endpoints that are still in progress}。请在 IDE 中增加超时时间。” |
常规 |
更新了 Workbench 提醒
操作说明
在 Trend Micro Vision One 中更新工作台提醒。
操作配置参数
| 参数名称 | 类型 | 默认值 | 必需 | 说明 |
|---|---|---|---|---|
| 提醒 ID | 字符串 | 不适用 | 是 | 指定需要更新的提醒的 ID。 |
| 状态 | DDL | 选择一项 可能的值:
|
是 | 指定要为提醒设置的状态。 |
运行于
此操作不会在实体上运行。
操作结果
脚本结果
| 脚本结果名称 | 值选项 | 示例 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 结果
{
"artifacts": [],
"assignedTo": "tip.labops",
"assignee": {
"displayName": "tip.labops@siemplify.co",
"username": "tip.labops"
},
"closed": "2022-03-23T11:04:33.731971",
"closedBy": "tip.labops",
"confidence": 0.1,
"created": "2022-03-11T08:48:26.030204",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"entity": {
"entityType": "_ip",
"hostname": null,
"id": "_ip-172.30.202.30",
"macAddress": null,
"name": "172.30.202.30",
"sensorZone": "",
"value": "172.30.202.30"
},
"id": "dbc30c20-6d99-4f6f-8580-157ce70368a5",
"lastUpdated": "2022-03-23T11:04:33.740470",
"lastUpdatedBy": null,
"name": "Initial Access",
"orgId": "siemplify",
"readableId": "INSIGHT-13927",
"recordSummaryFields": [],
"resolution": "False Positive",
"severity": "CRITICAL",
"signals": [
{
"allRecords": [
{
"action": "failed password attempt",
"bro_dns_answers": [],
"bro_file_bytes": {},
"bro_file_connUids": [],
"bro_flow_service": [],
"bro_ftp_pendingCommands": [],
"bro_http_cookieVars": [],
"bro_http_origFuids": [],
"bro_http_origMimeTypes": [],
"bro_http_request_headers": {},
"bro_http_request_proxied": [],
"bro_http_response_headers": {},
"bro_http_response_respFuids": [],
"bro_http_response_respMimeTypes": [],
"bro_http_tags": [],
"bro_http_uriVars": [],
"bro_kerberos_clientCert": {},
"bro_kerberos_serverCert": {},
"bro_sip_headers": {},
"bro_sip_requestPath": [],
"bro_sip_responsePath": [],
"bro_ssl_certChainFuids": [],
"bro_ssl_clientCertChainFuids": [],
"cseSignal": {},
"day": 11,
"device_ip": "172.30.202.30",
"device_ip_ipv4IntValue": 2887698974,
"device_ip_isInternal": true,
"device_ip_version": 4,
"fieldTags": {},
"fields": {
"auth_method": "ssh2",
"endpoint_ip": "172.30.202.30",
"endpoint_username": "1ewk0XJn",
"event_message": "Failed password for invalid user",
"src_port": "59088"
},
"friendlyName": "record",
"hour": 8,
"http_requestHeaders": {},
"listMatches": [],
"matchedItems": [],
"metadata_deviceEventId": "citrix_xenserver_auth_message",
"metadata_mapperName": "Citrix Xenserver Auth Message",
"metadata_mapperUid": "bcc62402-2870-49ad-ba8d-64ddf22fd342",
"metadata_parseTime": 1646987453926,
"metadata_product": "Hypervisor",
"metadata_productGuid": "6751ee25-4ef9-4f9f-9c8b-c39668856994",
"metadata_receiptTime": 1646987443,
"metadata_relayHostname": "centos-002",
"metadata_schemaVersion": 3,
"metadata_sensorId": "0b52e838-2dbd-4fc0-a2b5-7135a5dc72b7",
"metadata_sensorInformation": {},
"metadata_sensorZone": "default",
"metadata_vendor": "Citrix",
"month": 3,
"normalizedAction": "logon",
"objectType": "Authentication",
"srcDevice_ip": "172.30.202.30",
"srcDevice_ip_ipv4IntValue": 2887698974,
"srcDevice_ip_isInternal": true,
"srcDevice_ip_version": 4,
"success": false,
"timestamp": 1646987443000,
"uid": "c2e6188b-202c-5736-9b4d-248ab6ba88dd",
"user_username": "1ewk0XJn",
"user_username_raw": "1ewk0XJn",
"year": 2022
}
],
"artifacts": [],
"contentType": "ANOMALY",
"description": "Detects multiple failed login attempts from a single source with unique usernames over a 24 hour timeframe. This is designed to catch both slow and quick password spray type attacks. The threshold and time frame can be adjusted based on the customer's environment.",
"id": "b4adb0dc-1340-56ec-87aa-c6f1fc0fa247",
"name": "Password Attack",
"recordCount": 10,
"recordTypes": [],
"ruleId": "THRESHOLD-S00095",
"severity": 4,
"stage": "Initial Access",
"tags": [
"_mitreAttackTactic:TA0001"
],
"timestamp": "2022-03-11T08:31:28"
}
],
"source": "USER",
"status": {
"displayName": "Closed",
"name": "closed"
},
"subResolution": null,
"tags": [
"aaa3"
],
"teamAssignedTo": null,
"timeToDetection": 1271.030204,
"timeToRemediation": 1044967.701767,
"timeToResponse": 21.186055,
"timestamp": "2022-03-11T08:31:28"
}
案例墙
| 结果类型 | 值/说明 | 类型 |
|---|---|---|
| 输出消息* | 操作不应失败,也不应停止 playbook 执行: 如果报告了 200 状态代码 (is_success=true):“Successfully updated workbench alert with ID "{id}" in Trend Micro Vision One.” 操作应失败并停止 playbook 执行: 如果报告了致命错误(例如凭据错误、无法连接到服务器等):“Error executing action "Update Workbench Alert". 原因:{0}''.format(error.Stacktrace)" 如果响应中报告了错误:“执行操作‘更新工作台提醒’时出错。原因:{message}。'” |
常规 |
连接器
Trend Micro Vision One - Workbench Alerts 连接器
连接器说明
从 Trend Micro Vision One 中提取有关工作台提醒的信息。
配置连接器
如需了解如何在 Chronicle SOAR 中创建和配置连接器,请参阅配置连接器。
连接器配置参数
使用以下参数配置连接器:
| 参数名称 | 类型 | 默认值 | 必需 | 说明 |
|---|---|---|---|---|
| 商品字段名称 | 字符串 | 产品名称 | 是 | 输入源字段名称,以便检索产品字段名称。 |
| 事件字段名称 | 字符串 | indicators_field | 是 | 输入源字段名称,以便检索事件字段名称。 |
| 环境字段名称 | 字符串 | "" | 否 | 描述存储环境名称的字段的名称。 如果找不到环境字段,则环境为默认环境。 |
| 环境正则表达式模式 | 字符串 | .* | 否 | 要对“环境字段名称”字段中找到的值运行的正则表达式模式。 默认值为 .*,用于捕获所有内容并返回未更改的值。 用于允许用户通过正则表达式逻辑来操纵环境字段。 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
| 脚本超时(秒) | 整数 | 180 | 是 | 运行当前脚本的 Python 进程的超时时间限制。 |
| API 根 | 字符串 | https://{instance} | 是 | Trend Micro Vision One 实例的 API 根。 |
| API 令牌 | 字符串 | 是 | Trend Micro Vision One 账号的 API 密钥。 | |
| 要提取的最低严重程度 | 字符串 | 不适用 | 否 | 用于提取提醒的最低严重程度。 可能的值:低、中、高、严重。 如果未指定任何内容,连接器会注入所有严重程度类型的提醒。 |
| 回溯的小时数上限 | 整数 | 1 | 否 | 提取提醒的小时数。 |
| 要提取的提醒数量上限 | 整数 | 10 | 否 | 每次连接器迭代要处理的提醒数量。 |
| 将动态列表用作屏蔽名单 | 复选框 | 尚未核查 | 是 | 如果启用,动态列表将用作屏蔽名单。 |
| 验证 SSL | 复选框 | 勾选 | 否 | 如果启用,集成会验证与 Trend Micro Vision One 服务器的连接所用的 SSL 证书是否有效。 |
| 代理服务器地址 | 字符串 | 不适用 | 否 | 要使用的代理服务器的地址。 |
| 代理用户名 | 字符串 | 不适用 | 否 | 用于进行身份验证的代理用户名。 |
| 代理密码 | 密码 | 不适用 | 否 | 用于进行身份验证的代理密码。 |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。